研报总结与要点提炼
1. 公司概况与市场定位
- 绿盟科技成立于2000年4月,总部位于北京,于2014年1月29日在深圳证券交易所创业板上市,证券代码300369。
- 在国内设有50多个分支机构,为用户提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。
- 在全球范围内设立海外子公司和办事处,包括美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗,致力于全球网络安全服务。
2. 研究与教育合作
- 与广州大学合作成立了网络空间先进技术研究院(网研院),拥有网络空间安全一级学科博士授权点和硕士授权点。
- 网研院下设5个研究所,拥有一批高水平的教师队伍,包括中国工程院院士、长江学者特聘教授等。
- 设立了11个校企联合实验室,与12所知名高校合作,推广研究模式,培养网络安全人才。
3. 安全威胁与情报分析
- APT(高级持续威胁)组织情报研究显示,网络空间安全威胁呈现复杂化趋势,攻击目标从个人兴趣转向利益驱动、集团化运作。
- 自2009年以来,多个针对政府、国防、能源、金融、科技等领域的重大事件发生,凸显了APT组织的严重性和复杂性。
- 针对我国的APT组织攻击活动频繁,涉及政治、经济、军事、科技等多个领域,成为全球网络攻击的主要受害国之一。
4. 研究与技术贡献
- NSFOCUS(绿盟科技)联合实验室与广州大学网研院,致力于APT组织情报的收集、分析和建模。
- 利用基于知识图谱的网络空间威胁建模平台,对APT组织进行分类梳理,形成年度报告。
- 开发了大数据分析引擎,实现实时追踪和预警机制,提升了对APT组织的响应速度和准确性。
5. 宏观态势与趋势
- APT攻击呈现伪装技术发展、供应链攻击增加、经济利益动机增强、MaaS(恶意软件即服务)流行等趋势。
- 地域上,亚洲成为APT组织重点关注的区域,尤其是中国遭受了大量APT组织的攻击。
- 国际归因复杂,存在误判和嫁祸的可能性,需要加强国际合作和研究,提升归因准确性。
6. 漏洞利用与攻击技术手段
- APT组织主要利用互联网应用服务漏洞和MS OFFICE文件漏洞作为初始攻击点。
- 漏洞利用以Oday或1day漏洞为主,攻击手段包括钓鱼邮件、仿冒站点、利用云服务托管初始载荷等。
- 防御规避技术复杂,包括反病毒检测、加密通信、隐写术等,增加了检测难度。
7. 攻击策略与响应
- APT组织的攻击策略涉及初始攻击、防御规避、持久化、横向移动、信息收集、命令控制与数据外泄等阶段。
- 使用HTTPS通信加密,通过C2指令下发、隐式命令执行等方式,提高了检测与响应的挑战性。
结论
绿盟科技及其合作伙伴通过深入研究APT组织的活动模式、利用大数据分析技术,构建了APT组织情报图鉴,为提升我国重要信息系统防护水平提供了有力支持。面对不断演变的网络威胁态势,这种跨学科、跨领域的合作模式展现了技术创新与实战经验的有效结合,对于提升我国网络空间战略威慑能力和防御能力建设具有重要意义。
